Se as suas instâncias do VPC EC2 estiverem em sub-redes privadas, para acessar o EC2-Classic, seu VPC precisará de um NAT. Dê ao seu NAT um endereço IP elástico para que seja um endereço IP público constante.
Em seguida, no seu grupo de segurança do RDS, permita o acesso apenas para esse endereço IP elástico.
Se as suas instâncias do VPC EC2 estiverem em sub-redes públicas, você poderá fornecer a cada uma delas endereços IP elásticos e permitir acesso apenas aos endereços IP do seu grupo de segurança do RDS. Isso é mais difícil se eles fizerem parte de grupos de escalonamento automático.