It's important that only users who create the instance and view/manage them.
Isso é muito difícil de fazer com os usuários na mesma conta (e o whitepaper que você vincula não faz promessas sobre isso). Você pode limitar o acesso real ao shell da instância por meio de chaves SSH, mas as partes de gerenciamento de instância no nível da AWS são mais difíceis de separar. As permissões do EC2 IAM não oferecem uma maneira estaticamente definível para permitir que um usuário específico crie uma instância e, em seguida, seja o único usuário que pode modificar ou encerrar essa instância. (Você só pode limitar o término da instância e a capacidade de modificação de um usuário a uma instância específica usando o ID da instância, que é criado apenas quando a instância é criada.) (Como um aparte, você também não poderá limitar o número de instâncias que um único usuário pode ter ao mesmo tempo, por exemplo. Novamente, um recurso que a AWS simplesmente não oferece.)
Se você quiser esse tipo de separação de habilidades, precisará ir com o cenário 1 do whitepaper (você cria e gerencia as instâncias e cada aluno recebe uma chave ssh exclusiva no servidor atribuído) ou 3 (cada aluno recebe uma conta separada, embora, mais uma vez, você provavelmente deseje criar e gerenciar os papéis do IAM e os limites de instâncias de cada conta para evitar despesas não intencionais).