Fiquei me batendo horas até descobrir que tinha que adicionar a regra de saida pra porta 3000 no security group default que estava associado com a tarefa do fargate.
Para chegar no security group eu entrei no serviço que estava rodando - aba configuração de redes - e entrei no link "sg-xxxxxx" apontado "grupos de segurança", lá adicionei uma nova regra de entrada para porta 3000 em 0.0.0.0/0 e ai consegui acessar pelo http://ippublico:3000/
