Para atingir o objetivo desejado, faça o seguinte:
- Crie um subentendimento público e um privado.
- Coloque seu banco de dados em uma sub-rede privada, desative o acesso externo
- Crie uma instância do EC2 em uma sub-rede pública. RDP nele. Use-o para se conectar ao RDS privado. (por padrão, as sub-redes públicas e privadas na AWS podem se comunicar umas com as outras)
Essa técnica é chamada de "bastião host", descrita em mais detalhes aqui: link
Além disso, o recurso a seguir pode ser útil para você: link