На рисунке экземпляры EC2 совместно используют одну и ту же частную сеть (класс B) 172.16.X.X с RDS, следовательно, имея доступ к любому экземпляру в общедоступном сегменте и в зависимости от групп безопасности , определенных на RDS, можно получить доступ к базе данных, выполнив что-то вроде:
ssh -L 3307:<db>.rds.amazonaws.com:3306 user@your.ec2
Опция -L будет выполнять переадресацию локального порта с порта 3307 (ваш компьютер) на порт 3306 в <db>.rds.amazonaws.com через your.ec2.instance.
Для этого вы можете использовать хост bastion, вы можете прочитать об этом здесь: https://docs.aws.amazon.com/quickstart/latest/linux-bastion/architecture.html
Помимо определения того, как и каким пользователям разрешено использовать ssh, вам не придется иметь дело с sshd_config, большая часть работы будет либо в группах безопасности AWS, либо в том, как вы определили свой VPC илисеть ACL.