Você precisará de um host de bastiões - essencialmente, você RDP em uma instância em uma sub-rede pública e, em seguida, usar isso para RDP nos privados.
O blog de segurança da AWS tem um tutorial para configurar um:
Estamos implementando uma típica VPC Amazon com endereço público e privado - com todos os servidores que executam a plataforma Windows. As instâncias do MS SQL estarão na sub-rede privada com todos os servidores IIS / web na sub-rede pública.
Seguimos as instruções detalhadas no Cenário 2: VPC com sub-redes públicas e privadas e tudo funciona corretamente - até o ponto em que você deseja configurar uma Conexão de Área de Trabalho Remota no (s) servidor (es) SQL na sub-rede privada. Neste ponto, as instruções assumem que você está acessando um servidor na sub-rede pública e não está claro o que é necessário para a RDC para um servidor em uma sub-rede privada.
Faz sentido que algum tipo de redirecionamento de porta seja necessário - talvez acessando o EIP da instância Nat para atingir um servidor SQL específico? Ou talvez use um Elastic Load Balancer (embora isso seja realmente para protocolos http)?
Mas não é óbvio que configuração adicional é necessária para tal Conexão de Área de Trabalho Remota?