Domme vergissing, maar ik laat dit achterwege als iemand er iets aan heeft.
Mijn privé-subnetten in VPC-RDS gebruiken een andere routetabel dan het openbare subnet. Dit wordt gedaan zodat internetadressen (voor de catch all-regel 0.0.0.0/0 ) verwijzen naar de NAT-gateway in tegenstelling tot de internetgateway in het openbare subnet.
Ik heb een regel toegevoegd aan de routetabel van de privé-subnetten voor de peering-verbinding (172.20.0.0/16 -> pcx-112233 ), en configureerde vervolgens de db beveiligingsgroep om TCP-verkeer op poort 5432 te accepteren van 172.20.0.0/16 .