AWS VM — импорт защищенного образа

Мы успешно преобразовали файл VMDK в образ AWS AMI и запустили его в сервисе AWS EC2.

Файл VMDK представляет собой защищенный образ, для входа в систему было разрешено только несколько заранее определенных учетных данных (имя пользователя и пароль).

Интересно, как служба импорта изображений AWS может отправить SSH-KEY (открытый ключ) во вновь созданный экземпляр EC2, у которого AWS не знает имени пользователя и пароля. И в виртуальной машине нет связанных с AWS агентов/сервисов, таких как AWS SDK или системные менеджеры.

ОС RHEL 7

Обобщая вопрос, как при создании экземпляра EC2, при подключении KEY_PAIR для входа в систему SSH, как этот файл открытого ключа передается на эту виртуальную машину?