Com um nome de usuário como "A Internet", espero que você saiba disso. Mas desde que você perguntou ...
:)
VPCs são verdadeiramente privadas. Somente o tráfego que você permite explicitamente pode transitar pelas fronteiras da VPC.
Assim, dentro de um VPC, as instâncias que precisam de acesso a recursos externos precisam receber um EIP (caso em que podem acessar recursos externos usando a infraestrutura da AWS) ou você precisa fornecer um host NAT (nesse caso, todos o tráfego evita o VPC através do seu próprio NAT).
Se você optar por fornecer seu próprio host NAT, lembre-se de que precisará desativar a verificação de origem / destino nessa instância, além de adicionar uma rota padrão à sua sub-rede privada, apontando para o host NAT.
UPDATE (2015-05-10): A partir de 11 de maio de 2015, a AWS lançou um "VPC Endpoint" para o S3 , que permite o acesso ao S3 diretamente de um VPC sem ter que passar por um host proxy ou por uma instância NAT. Felizmente, por respeito à natureza verdadeiramente privada da VPC, esse recurso está desativado por padrão, mas pode ser facilmente ativado usando o Console da AWS ou por meio de sua API.