Realmente, a configuração recomendada faria com que você usasse uma instância de banco de dados RDS, configurando seu grupo de segurança de banco de dados para aceitar conexões somente dos grupos de segurança do EC2 apropriados. Nesta configuração, você PODE configurar seu usuário de banco de dados como [email protected]% e ainda impõe o acesso ao banco de dados apenas aos grupos de segurança do EC2 especificados.

Dessa forma, você transfere a carga do controle de acesso ao banco de dados para o modelo de segurança da AWS, em vez da configuração do usuário do MySQL. Obviamente, você ainda precisaria configurar os usuários do banco de dados para ter acesso apenas aos recursos apropriados no banco de dados.