Sua preocupação é realmente errada, porque a Amazon permitirá que você execute qualquer kernel que você goste agora. Costumava ser a maneira que você descreve, mas agora você pode compilar e executar um kernel dentro de sua VM.
Dito isto, normalmente não é assim que é feito. Muitas imagens ainda usam os AMIs fornecidos pela Amazon. Algumas imagens como as do Ubuntu usam imagens fornecidas pelo fornecedor.
Você não precisa se preocupar muito com problemas de segurança nos kernels. A maioria dos problemas de segurança não acontece lá. Muito mais importante é a compatibilidade / estabilidade com sua plataforma de hardware.
Se houver novos kernels fornecidos pelo fornecedor e você estiver fazendo manutenção de qualquer maneira, criar uma usando o comando fornecido é uma boa ideia. Se você está usando os kernels da Amazon, eu simplesmente deixo assim e não me preocupo com isso. Somente se você tiver uma necessidade específica especial, eu me importaria em fazer com que ele usasse um kernel personalizado de dentro da sua AMI.