Do they have the access to the Linux system that we pre-configured when they get the instance? I assume "no" because they need the private key to SSH but only I have the key. Please let me know otherwise.
Sim, eles fazem. A Amazon rejeitará sua submissão ao mercado se você incorporar quaisquer chaves SSH na AMI, para que você não possa usá-las. As próprias chaves dos usuários serão adicionadas à instância quando forem lançadas.
How is the security group applied for the new instance? Are the customers responsible for setting up the firewall rules or is the security group bound to the instance when I create the AMI?
Os grupos de segurança são aplicados a instâncias, não a AMIs. Então, o cliente seria responsável por configurar isso. No entanto, se seu aplicativo exigir uma configuração de grupo de segurança específica, você poderá distribuir um modelo do CloudFormation com sua AMI, o que facilita a configuração correta do cliente.
By default the instance does not have any public IP addresses, and currently I have to manually fetch an Elastic IP address and hook it to the instance. Is this the responsibility of the customer when they load an instance?
Sim, é responsabilidade dos clientes. No entanto, um modelo do CloudFormation também poderia ajudar aqui.