はじめてのvSRX on AWS rev1.1

2017年3月

ジュニパーネットワークス株式会社

This statement of direction sets forth Juniper Networks’ current intention and is subject to change at any time without notice. No purchases are contingent upon Juniper Networks delivering any feature or functionality depicted in this presentation

Legal Statement

アジェンダ

はじめに

vSRX on AWS概要

vSRX on AWS 基本インストール 手順1. AWS VPCの作成

2. vSRXインスタンスの起動

3. vSRXのログイン

4. vSRX設定

5. トラブルシューティングチップス

はじめに

2016年11月にAWS MarketplaceからvSRXおよびvMXが利用可能となりました。

vSRXを利用することで、AWS上でファイアウォールやVPNとして活用できるのはもちろん、ローカルに仮想環境などがなくとも、SRXやJUNOSを試したいというときにも気軽に使用することが可能となります。

JUNIPER PORTFOLIO FOR HYBRID CLOUD

パブリッククラウド・IaaS

• vSRX/cSRX 仮想/コンテナセキュリティ

• vMX 仮想ルータ

• Contrail Networking SDN

• AppFormix スマートマネージメントプラットフォーム

For building public or XaaS clouds

PUBLIC CLOUD PORTFOLIO

オンプレミス・コロケーション・ホスティングデータセンタ

• SRX 次世代ファイアウォール/ルーティング・Security Director

• MX ルーティング

• QFX スイッチファブリック・Network Director

• Contrail Networking SDN

• AppFormix スマートマネージメントプラットフォーム

For virtual private cloud or virtual hosted infrastructure:

PRIVATE CLOUD PORTFOLIO

AWSとの接続ルーターとして

AWS VPN GatewayAWS Direct Connect

ともにサンプルコンフィグがダウンロードできる数少ないベンダのひとつ※使用方法によって、一部設定変更が必要

AWSと接続するルータとして、セキュアルータであるSRXのサンプルコンフィグがAWSポータルからダウンロード可能

vSRX on AWS概要

Unified Security

Wherever the Network Goes

シンプル & オートメーションPoint-and-Click GUI: Procure, Deploy, and Protect

統合セキュリティPortable Security: Defends Public Cloud Environment

フレキシブルプライスBYOL & PAYG: Provides Agility for Changing Needs

Juniper vSRX on AWS MarketplaceFastest Virtual Firewall Meets Industry Leading Public Cloud

VPNやAdvanced Securityも含めたオールインワン

統合管理と可視化

Powered by Security Director

柔軟でシンプルなライセンスモデル60日間 または 30日間のフリートライアルライセンス

最速の仮想ファイアウォール10G パフォーマンス in AWS

HYBRID CLOUD SECURITY SOLUTION

1. 包括的なセキュリティ

2. セントラルマネージメント

3. マルチサイトVPN

4. キャリアクラススタック

5. TCOの削減

ジュニパーセキュリティポートフォリオ

for AWSパブリッククラウド

UTM

IPS

vSRX APP

Secure

AWS

Juniper

Threat Defense

Spotlight SecureThreat Intelligence

Security Director

Sky Advanced Threat Prevention

迅速な構築・運用をサポート (SDN統合と管理ポリシーの統合)

シンプル、拡張性、柔軟性を持つライセンス体系によるコストパフォーマンスの優位性

様々な利用要求に柔軟に対応 (DC・MSSP環境対応)

アドバンス・セキュリティと高性能ルーティングを兼ね備えたオール・イン・ワン仮想アプライアンス

vSRX – 唯一無二の仮想環境のセキュリティ

業界最速の仮想ファイアウォール (1コアあたりのスループット)

vSRX – 仮想アプライアンスとしてのSRX

Junos ルーティングプロトコルとSDK(開発キット)

Junos アドバンスド・セキュリティ - 拡張性の高いセキュリティスタック

Junos Space – Security Director・Virtual Director・CLI・JWEB・SNMP・HA

Firewall

VPN

NAT

Routing

Anti-Virus

IPS

Web Filtering

Anti-Spam

AppID

AppFW

AppQoS

AppTrack

コアセキュリティ コンテンツセキュリティ アプリケーションセキュリティ

ユースケース1.ハイブリッドクラウド – セキュアコネクティビティ

PublicAccess Subnet vSRX

インターネットClient

Site C

Site AWeb ServerApp ServerWeb Server

App Server

App Server Web Server

Web ServerApp ServerWeb Server

Site B

SRX

VPC

Internet Gateway

SecurityDirector

vSRX

- オンプレとパブリックともにSRXを利用してVPN接続• VPC あたりの VPN接続数制限(10)を超える拠点と接続可能• オンプレミスとおなじ操作感でVPN, policyの管理が可能

複数SRXを一元管理

ユースケース2. AWSワークロードをよりセキュアに

ひとつのVPC環境でシンプルにvSRXを利用してセキュア環境に

ユーザファイアウォール

侵入防御

UTM

AppSecure

Sky ATP脅威防御

VPN終端

複数VPC環境での包括的なAWS展開

ユースケース3. AWSワークロードの全体をよりセキュアに管理

専用NAT排除

専用VPN GW排除

VPCピアリングモジュール排除

包括的なセキュリティインテリジェンス

統合管理

オートメーション

追加機能ライセンスを別途購入して適用するモデルです。vSRXのライセンスはAWSマーケットプレイスからは課金されません。ライセンスおよびサポートを別途購入する必要があります。購入を希望する場合は、弊社国内パートナーにお問い合わせください。https://www.juniper.net/jp/jp/partners/japan/

AWS プライスモデル

Bring Your Own License (BYOL)

追加機能ライセンスがインスタンスに含まれたモデルです。時間単位でvSRXのライセンスは課金されます。AWSがメータリング、課金、課金レポートを行います。サポートはオンラインによる英語のみとなります。

Pay-As-You-Go (PAYG)–Hourly

追加機能ライセンスがインスタンスに含まれたモデルです。年単位でvSRXのライセンスは課金されます。AWSがメータリング、課金、課金レポートを行います。サポートはオンラインによる英語のみとなります。

Pay-As-You-Go (PAYG)–Annual

vSRX Services Gateway (BYOL)を選択

vSRX Next-Generation Firewall Bundle1 or Bundle2(UTM含)を選択

vSRX on AWS 基本インストールステップ

概要 本資料は[vSRX Guide for AWS]を元に、vSRX(15.1X49-D60)を

AWS上で起動させるためのインストール手順を記します。

AWSのアカウント作成方法やAWSに関する用語、およびSRX基本的なオペレーションについては記載しておりません。必要に応じてそれぞれのドキュメントをご参照ください。

将来のリリースにおいて動作は変更になる可能性があります。詳細情報含め、必要に応じて、最新のドキュメントをご参照ください。

AWSマーケットプレイスにあるvSRXには、BYOLの場合60日間の無償ライセンスがあり、PAYGの場合は、30日間の無償ライセンスがあります。

vSRX Guide for AWS(英語)

JUNOSハンズオントレーニングSRXシリーズサービスゲートウェイコース(日本語)

vSRX Documentation(英語)

http://www.juniper.net/techpubs/en_US/release-independent/junos/information-products/pathway-pages/srx-series/product/index.html

https://www.juniper.net/techpubs/en_US/vsrx15.1x49-d60/information-products/pathway-pages/security-vsrx-aws-guide-pwp.html

AWSアカウント作成方法

https://aws.amazon.com/jp/register-flow/http://www.juniper.net/assets/jp/jp/local/pdf/additional-resources/junos-handson-training-srx.pdf

参考マニュアル

vSRX on AWS構成概要

管理用vSRX_fxp010.0.1.0/24

外部向けvSRX_data110.0.2.0/24

内部向けvSRX_private110.0.3.0/24

VPC 10.0.0.0/16

ひとつのVPC(Virtual Private Cloud)でvSRXを動作させる構成を作成します。

VPCを１つ作り、その中で3つのサブネットを作成します。各サブネットにvSRXのインタフェースが属することになります。 1.管理用 2.外部向け 3.内部向け

各サブネットに対し、ルーティングテーブルを作り、各ルーティングテーブル毎に必要なスタティックルーティングを設定します。

ネットワークトポロジー

EC2 Instance 110.0.3.10

Route Table0.0.0.0/0 Internet gateway

Route Table0.0.0.0/0 Internet gateway

Internet Gateway

EC2 Instance 210.0.3.11

VSRX on AWS

Route Table0.0.0.0/0 EC2 eth2

ge-0/0/0 (EC2 eth1)fxp0(EC2 eth0)

ge-0/0/1 (EC2 eth2)

管理用vSRX_fxp010.0.1.0/24

外部向けvSRX_data110.0.2.0/24

内部向けvSRX_private110.0.3.0/24

1.VPCの作成

1-1. 仮想ネットワークであるVPCの作成

AWSコンソールにログインし、VPCダッシュボードにログイン。

構成図に記載のあるVPCのCIDRブロック10.0.0.0/16を設定

1.VPCの作成

1-2. インターネゲートウェイの作成

ゲートウェイを作成し、1-1.で作成したVPCにアタッチ。

1.VPCの作成

1-3. サブネットの追加

構成図に記載のある３つのサブネットをそれぞれ作成。(管理用:fxp0 10.0.1.0/24, 外部向け:data1 10.0.2.0/24, 内部向け:private1 10.0.3.0/24)

上記は管理用:fxp0用サブネット(10.0.1.0/24)の設定サンプル各サブネットが作成できたことを確認

1.VPCの作成

1-4. ルートテーブルの作成デフォルトでは、各VPCにメインのルートテーブルがあるが、制御のため、各サブネットに対するルートテーブルを個別に作成する。手順としてはルートテーブルをそれぞれ作成し、後に、各サブネットとマッピングする。

各サブネットに必要なルートテーブルを3つ作成

1.VPCの作成

1-4. ルートテーブルエントリーの作成外部用(data1)サブネットと管理用(fxp0)サブネットは、外部との通信が必要なため、先ほど作成したインターネットゲートウェイ向けのデフォルトゲートウェイを作成。

1.VPCの作成

1-5. ルートテーブルとサブネットのアサイン3つのルートテーブルそれぞれに必要なサブネットを関連付ける。

1.VPCの作成

1-6. セキュリティグループの作成デフォルトでは各VPC毎にセキュリティグループが割り当てられている。これを管理用(fxp0)のセキュリティグループと他のセキュリティグループをわけて設定する。

管理用のセキュリティグループのため、ssh, http, httpsを許可するように追加

管理用(fxp0のセキュリティグループ)の設定

1.VPCの作成

1-6. セキュリティグループの作成他のサブネットについては、vSRX側でフィルタを行うため、全トラフィックを通過させるセキュリティグループを作成。尚、VPN用途の場合は、送信元をVPCのCIDRのみとする。

2.vSRXの起動

現在vSRXがサポートしているインスタンスは複数あるため、ネットワークパフォーマンス、使用インタフェース数、インタフェース毎の使用可能ip数などがから選択する。各インスタンスタイプの使用料金はvSRXのマーケットプレイスからも確認可能。

インスタンスタイプ

vCPU数 メモリ ネットワークパフォーマンス

最大インタフェース数

インタフェース毎の最大IP数

c3.xlarge 4 7.5 Moderate 4 15

c3.2xlarge 8 15 High 4 15

c3.4xlarge 16 30 High 8 30

c3.8xlarge 32 60 10 Gigabit 8 30

c4.xlarge 4 7.5 Moderate 4 15

c4.2xlarge 8 15 High 4 15

c4.4xlarge 16 30 High 8 30

c4.8xlarge 36 60 10 Gigabit 8 30

m4.xlarge 4 16 High 4 15

m4.2xlarge 8 32 High 4 15

m4.4xlarge 16 64 High 8 30

m4.10xlarge 40 160 10 Gigabit 8 30

※EC2インスタンスは有償

2.vSRXの起動

2-1. SSH Keyペアの作成EC2のキーペアからインスタンスに必要なキーペアを作成。インスタンスのログイン時に使用する。既存のキーペアを使用する場合は、作成の必要はない。

2.vSRXの起動

2-2. AMIの選択vSRXのイメージをAWS Marketplaceから選択。今回の手順は、BYOLイメージ(60日間無償)を利用する。

2.vSRXの起動

2-3. インスタンスタイプの選択c4.xlarge インスタンス以上が推奨となっているため、今回は、c4.xlargeを選択。

2.vSRXの起動

2-4. インスタンス詳細設定作成したVPCと管理用のサブネット(fxp0)を選択。後ほどElastic IP(固定アドレス)を指定するため、パブリックIP割り当ては無効としている。但し、Elastic IPは有償オプションのためvSRXやJUNOSを触ってみたいというのが目的の場合は、特にElastic IPは必要ないため、ここでは、自動割り当てパブリックIPを”有効”としてもよい。

ストレージやタグの設定は必要に応じて設定

2.vSRXの起動

2-5.インスタンス詳細設定管理用(fxp0)用に作成したセキュリティグループとキーペアを選択。

2.vSRXの起動

2-6.インスタンスの起動確認作成後正常起動まで数分時間を要す。ステータスチェックの項目が、[ 2/2のチェックに合格しました ]となることを確認。

2.vSRXの起動

2-7.インタフェースの追加起動済みのインスタンスにはfxp0用の1つのインタフェース(eth0)しか作成されていないため、必要なインタフェースを追加する。今回は、外部向け:data1と 内部向け:private1用にインタフェースを２つ作成する。また、関連するサブネットとセキュリティグループも選択する。尚、最初に作成したインタフェースがSRXのge-0/0/0(EC2 eth1)となり、次に作成したものがge-0/0/1(EC2 eth2)となる。

※AWSは最大8つのインタフェースをサポート

2.vSRXの起動

2-7.インタフェースのアタッチ作成したインタフェースをvSRXインスタンスにアタッチ。

外部用(data1)用と内部用(private1)用のインタフェースをそれぞれ選択し、アタッチ

2.vSRXの起動

2-7.インタフェースの設定変更各インタフェースに対して「送信元/送信先の変更チェック（Source/Dest Check）を無効化」しておく。

2.vSRXの起動

2-8.Elastic IPの取得Deployment Guideの推奨は、外部用インタフェース(data1)と管理用インタフェース(fxp0)に対し、Elastic IP(パブリックIP)を割り当てることを推奨。よって、それぞれにElastic IPを関連づけるため、まずはアドレスを２つ取得する。

2.vSRXの起動

2-8.Elastic IPのアサイン取得したアドレスを外部用インタフェース(data1)と管理用インタフェース(fxp0)にアサイン。

2.vSRXの起動

2-９.デフォルトルート設定内部用:private1のルーティングテーブルのデフォルトルートをvSRXの内部用インタフェース(private1/ec2 eth2)とする。尚、内部用インタフェース名はプルダウンで選択できないため、vSRXのインスタンスからインタフェース名を確認し、コピー&ペーストをする必要がある。

vSRXのprivate1/ec2 eth2のインタフェース名を記載。

2.vSRXの起動

2-９.デフォルトルート設定内部用:private1のルーティングテーブルのデフォルトルートをvSRXの内部用インタフェース(private1/ec2 eth2)とする。尚、内部用インタフェース名はプルダウンで選択できないため、vSRXのインスタンスからインタフェース名を確認し、記載する。

vSRXのprivate1/ec2 eth2のインタフェース名を確認し、記載。

2.vSRXの起動

2-10.インスタンスの再起動vSRXインスタンスの起動中にネットワークインタフェースは自動的に割り当てられないため、インスタンスの再起動を行う。再起動には5分強時間を要す。

3.vSRXのログイン

3-1.vSRXへのログイン管理インタフェース(exp0 / EC2 eth0)に割り当てたElastic IPのアドレスに対し、作成したキーペアを使用してログインする。デフォルトのUser nameは”root”。ログイン後は、通常のvSRXと同等のオペレーションが可能です。詳細は、”JUNOSハンズオントレーニング SRXシリーズゲートウェイサービスコース”などを参照のこと。

※Windows Tera Termのサンプル

#chmod 400 <key-pair.pem> #ssh –I <key-pair.pem> root@52.199.234.210

3.vSRXのログイン

3-2.vSRXの設定AWS Marketplaceからインストールした場合、以下の設定は自動的に作成されており、ログインが可能となっている。

rootのauthentication設定後、Elastic IPに対しhttpアクセスすることで、J-Web(GUI)のアクセスも可能

set system root-authentication ssh-rsa "ssh-rsa XXXRSA-KEYXXXXX”set system services ssh no-passwordsset interfaces fxp0 unit 0 family inet address aws-ip-addressset routing-options static route 0.0.0.0/0 next-hop aws-ip-address

root@% cliRoot> configureroot# set system root-authentication plain-text-passwordroot# commit

3.vSRXのログイン

3-3.ライセンスの確認60日間のライセンスが使用できることが確認可能。

root> show system licenseLicense usage:

Licenses Licenses Licenses ExpiryFeature name used installed neededVirtual Appliance 1 1 0 59 days

Licenses installed:License identifier: E420588955License version: 4Software Serial Number: 20150625Customer ID: vSRX-JuniperEvalFeatures:Virtual Appliance - Virtual Appliancecount-down, Original validity: 60 days

3.vSRXのログイン

3-4.vSRXの基本設定管理インタフェース(fxp0)のアドレスは自動的に設定されるが、他のインタフェースのアドレスは手動で設定する必要がある。またsecurity zoneの設定も行う。尚、Security zoneの設定概念や設定方法については、”JUNOSハンズオントレーニング SRXシリーズゲートウェイサービスコース”の”Firewallの設定”を参照のこと。

[edit]root# set interfaces ge-0/0/0.0 family inet address 10.0.2.199/24root# set interfaces ge-0/0/1.0 family inet address 10.0.3.210/24root# set security zones security-zone untrust interfaces ge-0/0/0.0root# set security zones security-zone trust interfaces ge-0/0/1.0root#commit checkroot#commit

4.vSRX設定

起動後は、通常のvSRXと同様の設定が可能となる。AWSのベーシックなユースケースとしては、NATおよびIPsec VPNのため、ここでは、サンプル設定のみを記す。

尚、より詳細を把握したい場合は、ハンズオントレーニング資料やリファレンスマニュアルを参照のこと。

4.vSRX設定

4-1. NATサンプル設定ge-0/0/1からge-0/0/0の通信の送信元アドレスをインタフェースアドレスに変換。

1.vSRXのデータインタフェースに対してIPアドレスを設定#set interfaces ge-0/0/0 unit 0 family inet address 10.0.1.197/24#set interfaces ge-0/0/1 unit 0 family inet address 10.0.2.1/24

2.untrust security zoneの設定#set security zone untrust host-inbound-traffic system-services https #set security zone untrust host-inbound-traffic system-services ssh#set security security-zone untrust interfaces ge-0/0/0.0

3.trust security zoneの設定#set security zone trust host-inbound-traffic system-services https #set security zone trust host-inbound-traffic system-services ssh#set security zone trust host-inbound-traffic system-services ping#set security security-zone trust interfaces ge-0/0/1.0

送受信を許可するサービスを指定

送受信を許可するサービスを指定

4.vSRX設定

4-1. NATサンプル設定

4. セキュリティポリシーの設定 (all permit)# set security policies from-zone trust to-zone untrust policy test match source-address any # set security policies from-zone trust to-zone untrust policy test match destination-address any # set security policies from-zone trust to-zone untrust policy test match application any# set security policies from-zone trust to-zone untrust policy test then permit

5. NATの設定(sourse NAT)# set security nat source rule-set SNAT_RuleSet from zone trust # set security nat source rule-set SNAT_RuleSet to zone untrust# set security nat source rule-set SNAT_RuleSet match source-address 0.0.0.0/0# set security nat source rule-set SNAT_RuleSet then source-nat interface # commit

4.vSRX設定

4-2. IPsec VPNサンプル設定ルートベースVPNとしてルーティングにマッチするトラフィックにVPNを適用。対向のゲートウェイと

1.vSRXのデータインタフェースに対してIPアドレスを設定#set interfaces ge-0/0/0 unit 0 family inet address 10.0.1.10/24 #set interfaces ge-0/0/1 unit 0 family inet address 10.0.2.10/24 #set interfaces st0 unit 1 family inet address 10.0.250.20/24(トンネルインタフェース設定)

2.untrust security zoneの設定# set security zones security-zone untrust screen untrust-screen # set security zone trust host-inbound-traffic system-services https # set security zone trust host-inbound-traffic system-services ssh# set security security-zone trust interfaces ge-0/0/0.0 # set security security-zone trust interfaces

送受信を許可するサービスを指定

4.vSRX設定

4-2. IPsec VPNサンプル設定

3. Trust security zoneの設定# set security zone untrust host-inbound-traffic system-services https # set security zone untrust host-inbound-traffic system-services ssh# set security zone untrust host-inbound-traffic system-services ping # set security security-zone untrust interfaces ge-0/0/1.0

4.IKEの設定 (セキュリティ属性定義、ポリシー、対向のアドレス等)# set security ike proposal AWS_IKE_Proposal authentication-method pre-shared-keys # set security ike proposal AWS_IKE_Proposal dh-group group2 # set security ike proposal AWS_IKE_Proposal authentication-algorithm sha-256 # set security ike proposal AWS_IKE_Proposal encryption-algorithm aes-256-cbc # set security ike proposal AWS_IKE_Proposal lifetime-seconds 1800 # set security ike policy AWS-R mode aggressive # set security ike policy AWS-R proposals AWS_IKE_Proposal# set security ike policy AWS-R pre-shared-key ascii-text preshared-key # set security ike gateway AWS-R ike-policy AWS-R # set security ike gateway AWS-R address 203.0.113.10(対向アドレス) # set security ike gateway AWS-R local-identity user-at-hostname "dest@example.net" # set security ike gateway AWS-R remote-identity user-at-hostname "source@example.net" # set security ike gateway AWS-R external-interface ge-0/0/0

送受信を許可するサービスを指定

4.vSRX設定

4-2. IPsec VPNサンプル設定

5. IPsecの設定 (セキュリティ属性定義、ポリシー、トンネルインタフェース指定等)# set security ipsec proposal AWS_IPSEC protocol esp# set security ipsec proposal AWS_IPSEC authentication-algorithm hmac-sha1-96 # set security ipsec proposal AWS_IPSEC encryption-algorithm aes-256-cbc # set security ipsec policy AWS_IPSEC_POL proposals AWS_IPSEC # set security ipsec vpn aws-aws bind-interface st0.1 # set security ipsec vpn aws-aws ike gateway AWS-R # set security ipsec vpn aws-aws ike ipsec-policy AWS_IPSEC_POL # set security ipsec vpn aws-aws establish-tunnels immediately

6. Routingの設定# set routing-instances aws instance-type virtual-router # set routing-instances aws interface ge-0/0/0.0 # set routing-instances aws interface ge-0/0/1.0 # set routing-instances aws interface st0.1 # set routing-instances aws routing-options static route 0.0.0.0/0 next-hop 10.0.1.1 # set routing-instances aws routing-options static route 2.2.0.0/24 next-hop st0.1 (対向の経路を指定)# commit

5.トラブルシューティングチップス

• AWSコンソールにてインスタンスのステータスチェックし、[ 2/2のチェックに合格しました ]となっているか確認する。

• 解決策

• ステータスが0/2の場合: AWSサポートに確認する。

• ステータスが1/2の場合:

• インスタンスへのping通信を確認。

• インストールログを確認。インスタンス選択 右クリック インスタンスの設定 システムログの取得

• インスタンスタイプがサポートされているタイプか確認。

• セキュリティグループやACL設定に間違いはないか確認。

• インスタンスの再起動を行う。

事象：インスタンスが起動しない

• AWSのインスタンスログインはRSAのキーペアを必要とする。正しいキーペアを使用する必要がある。

• 解決方法

• キーペアが間違いないかの確認。プライベートキーがない場合は、再度インスタンスを作成する必要がある。

• 正しいキーを使用している場合、キーのパーミッションの確認(chmod 400 for the key)

• 管理インタフェース fxp0のAWSセキュリティグループとネットワークACLに間違いがないか確認する。

事象: インスタンスにログインができない

5.トラブルシューティングチップス

• データ転送用のインタフェース(Revenue Interfaces)がupになり、トラフィックがvSRXを通過する必要がある。vSRXのフロートレースでトラフィックが確認できるかを確認する。

• 解決方法

• 「送信元/送信先の変更チェック（Source/Dest Check）」を無効化

• 各ルーティングテーブルのサブネットを確認し、間違いないかの確認

事象: トラフィックが転送されない。

5.トラブルシューティングチップス

その他

vSRXがサポートしているのは、有償のインスタンスタイプのみとなる。もし、JUNOS学習のために使用したい場合は、学習終了後は、インスタンスを停止しておくことを推奨。

SRXを再起動する場合は、CLIによる再起動は行わず、AWSのインスタンスの再起動を行う。

ログインに必要な初期設定が設定されているため、初期状態にするload factory-defaultコマンドは使用しない。

SRXの全機能がAWS上で動作するわけではない。サポート状況はドキュメントを参照のこと。

Thank you