Имеет ли смысл ограничивать, откуда пользователь может подключаться к RDS, если уже использует группу безопасности БД?

И то, и другое - хорошая идея.

Хотя вы можете подумать,

Я защитил стек с помощью групп безопасности AWS, нет смысла делать это снова на уровне приложений.

... вот несколько вещей, которые следует учитывать:

• AWS может столкнуться с ошибкой или уязвимостью, которая разрешает доступ там, где он не должен
• Вы можете случайно удалить или изменить правило группы безопасности
• Вам нужны общие правила на уровне группы безопасности, но более конкретные правила для пользователя mysql

Вы можете подумать об ограничении доступа на уровне mysql и обойтись без него. В конце концов, вам решать, стоит ли дополнительная работа дополнительной работы.