Ser "privado" (em oposição a "público") não é um atributo de configuração literal de uma sub-rede.
Ele é derivado da tabela de rotas associada à sub-rede ... embora não seja um atributo de configuração literal da tabela de rotas.
Definição oficial:
If a subnet's traffic is routed to an Internet gateway, the subnet is known as a public subnet.
http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html
Isso significa diretamente para o Gateway da Internet, não por meio de um Gateway NAT, Instância NAT, Gateway Privado Virtual ou outro dispositivo do tipo gateway.
Como normalmente implantada, uma sub-rede pública é uma sub-rede cuja tabela de roteamento associada tem uma rota padrão que aponta para o objeto Gateway da Internet ... embora também possa ser uma sub-rede com uma tabela de roteamento com destinos específicos roteando diretamente para o Internet Gateway, e isso ainda seria essencialmente uma sub-rede pública.
Como a configuração tem alguma flexibilidade, não há um delineamento rigoroso. Para fins práticos, qualquer sub-rede associada a tabelas de roteamento com rotas que apontam para o Gateway de Internet pode ser considerada como sub-rede "pública" e o restante como "privada", de modo que o processo de descoberta equivale a percorrer a hierarquia. da outra direção, do VPC → Route Tables (aqueles com IGW routes = public) → Sub-redes associadas para essas tabelas de rotas.