e embaraçosamente, depois de passar horas tentando descobrir a resposta esta manhã, eu descubro a resposta alguns minutos depois de postar isso.
As instâncias do Amazon Linux vêm com uma linha no arquivo /etc/audit/audit.rules que requer remoção / comentários para habilitar a auditoria: -a nunca, tarefa
Portanto, se você não comentar essa linha, mesmo que auditctl -l mostre a regra, ela não será registrada. A mesma linha está em /etc/audit/rules.d/audit.rules.default
trava a cabeça em vergonha
Vou deixar isso aqui caso outros usuários da AWS tenham o mesmo problema.