Tenho duas instâncias RDS, ambas hospedadas na mesma VPC e na mesma sub-rede. Ambos têm o mesmo grupo de segurança aplicado. Ambos são do mesmo tamanho, criptografia desabilitada, basicamente exatamente o mesmo, exceto o nome da instância e o nome da tabela.
No entanto, só consigo me conectar a um deles (um mais antigo). O que eu criei (e recriei) hoje me dá 116 "Connection timed out"-- não consigo nem fazer telnet para o endpoint:port. Existem fatores fora do painel do RDS que devo examinar? Eu até tentei adicionar Allow ALL from ::/0ao grupo de segurança, sem sorte.
O problema aqui acabou sendo o grupo de sub-rede RDS padrão (diferente da sub-rede VPC que você normalmente usa, provavelmente) adicionou automaticamente blocos de IP privados e públicos.
Para meu primeiro RDS, aconteceu de ser atribuído um bloco de IP publicamente acessível (ainda um 10.x, mas acesso do público) - minha segunda instância RDS recebeu um privado (para que meus aplicativos no EC2 pudessem se conectar, mas Eu não poderia de fora do VPC). Criamos uma nova sub-rede RDS contendo apenas blocos IP de acesso privado e usaremos o túnel ssh para administrar as instâncias conforme necessário, já que os bancos de dados acessíveis ao público tendem a não funcionar tão bem.