Is there a 'way' for EC2 to tell me which host the request for a snapshot is coming from?
Com certeza. Você estará alavancando um produto relativamente novo da AWS que acabou de ser lançado na re: Invent em novembro de 2013.
Habilite o CloudTrail para a região em que você está operando. O CloudTrail é essencialmente um registro de auditoria de cada chamada da API feita contra sua conta, então isso incluirá as chamadas instantâneas.
Depois de fazer isso, você precisará esperar um dia ou mais para que o registro comece a aparecer. Quando isso acontecer, os blobs json gzipados começarão a aparecer no bucket S3 que você escolheu ao habilitar o CloudTrail. Dentro de cada json blob há um valor Records:sourceIPAddress que contém o endereço IP de onde veio a chamada da API.
Se você não estiver fazendo muitas chamadas de API para a AWS, não deverá ser difícil encontrar a chamada de instantâneo. Se você estiver fazendo muitas chamadas, no entanto, você vai querer criar uma maneira automática de pesquisar o json para encontrar a chamada em que está interessado.
Is it possible that ec2 is just now making the snapshots for me?
Não.
Se, depois de tentar o acima, você ainda não conseguir localizar o script, poderá revogar as credenciais que o script está usando e recomeçar com novas credenciais. Você está usando um usuário do IAM para isso, certo? Não são as credenciais da sua conta raiz da AWS? OK bom, eu pensei assim. Apenas um idiota usaria suas credenciais de conta root para qualquer coisa.