AWS側でできる主な制限としては
①IPアドレスによる制限
②IAMの権限による制限
があります。

まず前提として、IAMユーザーの権限を厳密に管理して、そもそも操作できなくさせることは重要です。
とりあえずメンバー全員にAdmin権限を付与するなんてことは当然ながら避けるべきです。

それに加えて、特定のロールに昇格するための条件にIPアドレスを加えることが出来ます。
つまり、自席のPCからAWSのマネジメントコンソールにはログインできても、AdminRoleに昇格するには指定されたIPアドレスからアクセスしないと弾かれるように出来ます。
※そもそものマネジメントコンソールに対するログインをIPアドレスレベルで縛ることは出来ないはずです。

私がいる会社では、オンプレのやり方と組み合わせて以下のようにしています。

入出を制限した部屋に入る→ローカルのネットワークとは切り離された別のネットワーク上の端末にログイン→その端末からVPN経由でAWSアカウントにログイン→事前に管理者に適切なロールに昇格するための権限を付与してもらう→適切な権限に昇格→作業

のような形です。

質問者様がおっしゃるとおり、AWSの操作ログは全て残すことができるので監査対応も可能です。
また、特定の危険な予期せぬ操作が発生したら、スラックにアラートを飛ばすことも出来ます。