Original URL: https://aws.amazon.com/cn/blogs/database/applying-best-practices-for-securing-sensitive-data-in-amazon-dynamodb/

在本系列的第一篇文章《AWS数据存储中的敏感数据保护最佳实践》（Best practices for securing sensitive data in AWS data stores）当中，已经介绍了一系列常规安全性概念，以及适用于AWS数据存储的对应AWS安全控制机制。以此为基础，大家可以围绕数据构建起更强大的安全态势。在系列第二篇《应用最佳实践保护Amazon RDS中的敏感数据》（Applying best practices for securing sensitive data in Amazon RDS）当中，我们介绍了如何将这些概念具体应用于Amazon RDS数据库。本文是系列文章中的第三篇，主要阐述如何在Amazon DynamoDB中实现这些安全概念。

数据分类与安全区建模

在安全保护方面，最重要的前提在于明确了解当前正在处理的数据，以及与处理相关的各项特定要求。这些要求可能源自法规规定，也可能来自组织内部规章制度。您在实际应用中可能不需要使用本文提及的某些特定安全控制方案，例如数据令牌化。总之，我们在努力提高安全性标准的同时，也应保证选择适当的控制机制以降低风险的认知难度。

在完成安全区设计之后，我们应使用网络访问控制列表（ACL）进行具体实现，后文将具体进行探讨。此步骤涉及对粗粒度网络区域进行定义，并使用安全组在各安全区之内进行更具体的微分段。

在实施安全区建模时，请认真考量您的网络设计。CIDR范围的大小，将直接决定各个子网中所能维持的IP地址数量。因此，我们需要在CIDR范围设定方面充分考虑到子网支持（更多IP地址）与子网数量的后续增长。只有在各项基本要求间取得平衡，您的Amazon VPC与本地数据中心或其他VPC之间才能始终拥有互不冲突的IP地址空间。关于更多详细信息，请参阅AWS单一VPC设计指南。