Proteger a instância EC2 do logging sem o arquivo .pem

Você não saiu e disse isso imediatamente, mas deu acesso ao console da AWS a alguém em quem não confia. Esse é o problema que você precisa resolver. O que você fez é equivalente a dar a alguém acesso físico ao seu servidor. Uma vez feito isso, todas as apostas estão desativadas. Fim do jogo.

Então, a primeira coisa que você precisa fazer é revogar o acesso dessa pessoa à sua conta da AWS. Depois de ter feito isso, tudo o que você precisa fazer é proteger sua chave privada (o que já parece que você está fazendo) e as chances de seus servidores serem comprometidos via SSH são essencialmente zero.

Você tem algumas opções para controlar o acesso. Tome o máximo de abordagens possíveis.

1. Use o repositório de instâncias com backup de EC2.
2. Configure o MFA no seu console da AWS.
3. Configure Grupos de segurança na sua máquina do EC2.
4. Adicione uma senha à sua chave privada SSH.
5. Desative senha auth para o SSH.
6. Desative o login raiz para o SSH.
7. Auditar todas contas de usuário para chaves públicas SSH.

Se você fizer todas as etapas acima, você evitou a solução descrita acima em sua pergunta. A abordagem apresentada na minha resposta pode ser considerada "defesa em profundidade", ou seja, certificar-se de resolver o problema em várias camadas. Assim, mesmo que haja um comprometimento ou erro em uma camada, as outras impedirão acessos.