下記ファイルで定義されている。
・/etc/sudoers
・/etc/sudoers.d/90-cloud-init-users

/etc/sudoersは「ec2-user ALL=(ALL) NOPASSWD: ALL」をコメントアウトしたら
/etc/sudoers.d/90-cloud-init-usersで管理すればよいと思う。

#確認
cat /etc/sudoers
cat /etc/sudoers.d/90-cloud-init-users

#変更(片方のファイルでも有効な場合、有効となってしまうので注意)
visudo -f /etc/sudoers
visudo -f /etc/sudoers.d/90-cloud-init-users

#書式の確認
visudo -c

#変更前
ec2-user       ALL=(ALL)       NOPASSWD: ALL

#変更後(ec2-userは無効化しておく)
#ec2-user       ALL=(ALL)       NOPASSWD: ALL

#変更前
ec2-user ALL=(ALL) NOPASSWD:ALL

#変更後(ec2-userは無効化しておく)
#ec2-user ALL=(ALL) NOPASSWD:ALL

理解したら詳しく書く

#wheelグループのユーザは全てのホストで誰として(ALL=(ALL))でも、パスワードなしで全てのコマンドを(NOPASSWD:ALL)実行できる。
%wheel ALL=(ALL:ALL) NOPASSWD: ALL