Sim. Essa é uma desvantagem de usar um serviço de nuvem pública tão grande quanto o AWS. O download é feito via HTTPS e apenas uma vez, no momento da criação do par de chaves, portanto, não é como se alguém quebrasse o logon do console da AWS e, em seguida, fizesse o download de todos os pares de chaves. Você também pode apenas importar uma chave pública gerada em sua própria conta link de modo a limitar a exposição da chave privada, e só transferir a chave pública via internet pública.