Миграция с экземпляра NAT на NAT Gateway не выполняется в существующих экземплярах

У меня есть VPC, который я создал давным-давно, прежде чем шлюзы NAT стали чем-то особенным. Как и многие другие настройки, я создал экземпляр NAT для маршрутизации исходящего трафика. Вчера мой экземпляр NAT потерпел крах. Я смог перезагрузиться, но это вызвало головную боль, поэтому я решил попробовать перейти на NAT-шлюз.

Мне все равно, если исходящий IP-адрес одинаков. В качестве теста я создал новый VPC с экземпляром, чтобы убедиться в правильности настроек. Затем я создал шлюз в существующем VPC. Затем я поменял свою основную таблицу маршрутизации, чтобы использовать ее в качестве шлюза вместо экземпляра.

Моя установка - две подсети, одна общедоступная, которая указывает на интернет-шлюз, и одна частная, указывающая на шлюз NAT. Я использую OpenVPN в экземпляре для доступа к своим личным экземплярам.

Однако, когда я переключаюсь на шлюз NAT, я больше не могу маршрутизировать исходящие на существующих экземплярах, НО, когда я создаю новый экземпляр, он работает нормально. Проблема та же в обратном направлении. Если я установлю подсеть моего нового экземпляра, который работает со шлюзом NAT, чтобы использовать вместо него экземпляр NAT, он больше не сможет видеть внешний мир.

Я не изменяю таблицы маршрутов на самих экземплярах, только маршруты в веб-консоли.

Я также попытался (с моим тестовым экземпляром) перезагрузить сеть, а затем перезагрузить компьютер, но ни один не помог.

Я прочитал пару руководств по миграции, которые, кажется, указывают, что это должно работать, очевидно, что маршруты меняются, но затем не работают сразу после этого. Есть ли в этом какая-то волшебная хитрость или мне придется пересоздавать свои экземпляры для работы со шлюзом NAT?

РЕДАКТИРОВАТЬ: еще одна морщина в этом. По какой-то причине я изменил группу безопасности своего тестового экземпляра (при создании я использовал группу по умолчанию). Использование существующей группы безопасности с теми же правилами исходящих сообщений позволило экземпляру подключиться, но поменять его обратно на исходную группу и не может подключиться.

РЕДАКТИРОВАТЬ 2: Изменение группы безопасности одного из моих существующих экземпляров, кажется, не работает. Изменение группы безопасности, похоже, работает только на новом экземпляре, который я настроил в качестве теста.

Как и предполагалось, вот несколько экранов моей настройки:

Вот мои таблицы маршрутов. Именованный я добавил в качестве теста, и он направляется к шлюзу nat. У меня есть только одна подсеть, где у меня есть экземпляр в качестве теста. Вторым в списке является маршрут по умолчанию, к которому направляются все другие подсети с использованием экземпляра NAT.

Вот подтверждение того, что мой private-subnet-1e маршруты к шлюзу NAT:

И проверка того, что одна из моих подсетей производственного сервера маршрутизирует с использованием основного шлюза через экземпляр NAT:

Группа безопасности для тестового экземпляра Исходящие правила: (все)

Группа безопасности для экземпляра prod, который не может маршрутизироваться, если я изменю таблицу. То же самое, все разрешено