Personne ne connaît mieux que vous les exigences de sécurité et les obligations réglementaires pour votre entreprise, ainsi que les exigences liées à la protection de vos données et ressources confidentielles. Lorsque vous exécutez vos charges de travail sur Google Cloud, vous devez identifier les contrôles de sécurité que vous devez configurer dans Google Cloud pour protéger vos données confidentielles et chaque charge de travail. Pour déterminer les contrôles de sécurité à mettre en œuvre, vous devez prendre en compte les facteurs suivants:
Vos obligations liées à la conformité réglementaire
Les normes de sécurité et le plan de gestion des risques de votre organisation
Les exigences de sécurité de vos clients et de vos fournisseurs
La protection de vos données est notre première préoccupation dans l'ensemble de notre infrastructure, de nos produits et des tâches effectuées par nos employés. Google Cloud offre une sécurité renforcée pour de nombreux types de données, y compris les données client et les données de service. Toutefois, si vos charges de travail doivent respecter des exigences réglementaires spécifiques ou sont soumises à des normes nationales qui exigent des contrôles de sécurité renforcés, vos règles internes peuvent différer des options de configuration par défaut. Si vous avez de telles exigences, nous vous recommandons d'adopter des outils et des techniques supplémentaires pour maintenir le niveau de conformité requis et permettre à votre équipe de suivre les bonnes pratiques de gestion des données et de cybersécurité globale.
Configurer Google Cloud et Assured Workloads pour la responsabilité partagée
Les domaines suivants relèvent de la responsabilité du client en tant qu'utilisateur de tout cloud public:
Identifier les parties de vos données qui présentent des exigences de conformité et de sécurité différentes.
La plupart des clients cloud disposent d'une infrastructure IT qui nécessite une sécurité commerciale générale, et certains clients disposent de données spécifiques, telles que des données de santé, qui doivent répondre à des exigences de conformité plus élevées. Assured Workloads peut vous aider à répondre à ces exigences de conformité plus élevées. Placez toutes les données sensibles ou réglementées présentant des exigences d'accès ou de résidence spécifiques dans les dossiers ou projets Assured Workloads appropriés, et conservez-les.
Configurer Identity and Access Management (IAM) pour vous assurer que le personnel approprié peut accéder au contenu de votre organisation et le modifier.
Créez et organisez votre hiérarchie organisationnelle de manière à ne pas exposer de données à caractère personnel.
Assurez-vous d'avoir lu toute la documentation pour comprendre et suivre les bonnes pratiques.
Partager des informations de manière prudente lors des sessions d'assistance technique et de dépannage, et ne pas placer ni partager de données sensibles ou réglementées en dehors des dossiers Assured Workloads conformes.
Le champ d'application des données sensibles ou réglementées peut varier en fonction de nombreux facteurs, y compris des réglementations auxquelles vous ou vos clients êtes soumis. Il peut inclure les éléments suivants:
Informations sur le compte
Des informations d'intégrité
Identifiants personnels des clients ou des utilisateurs
Données du titulaire de carte
Numéros d'identification
Responsabilités de Google dans le modèle de responsabilité partagée
Dans le cadre du partenariat de responsabilité partagée entre Google et les clients, Google est responsable des éléments fondamentaux et de l'infrastructure nécessaires à la création d'une entreprise cloud prospère, dont certains reposent sur les clients qui doivent s'assurer de configurerGoogle Cloud pour protéger correctement leurs données. Voici quelques exemples de responsabilités de Google:
Application des stratégies IAM que vous définissez pour limiter l'administration des charges de travail et l'accès aux données aux identités que vous identifiez.
Configuration et application de tous les contrôles Assured Workloads sélectionnés par le client associés au régime de conformité sélectionné, pour les types de données protégés dans les ressources pour lesquelles vous l'avez configuré. Cela inclut des restrictions sur l'emplacement de stockage des données et sur les employés Google qui peuvent y accéder dans le cadre de leurs activités professionnelles.
Fournir des configurations et des contrôles via Assured Workloads pour les secteurs réglementés et les données sensibles à la localisation
Fournir des outils Policy Intelligence qui vous fournissent des insights sur l'accès aux comptes et aux ressources.
Configuration spécifique à l'Europe et à l'UE
Lorsque vous utilisez Assured Workloads pour les régions de l'UE ou Sovereign Controls pour l'UE, les clients disposent de contrôles techniques supplémentaires en plus des assurances du RGPD sur Google Cloud qu'ils peuvent utiliser pour ajuster leur résidence des données et leurs contrôles de sécurité dans le cadre de leurs efforts de conformité. Voici quelques exemples de ces contrôles:
Une limite de données de l'UE, comme décrit plus en détail dans la section Résidence des données.
Assurer le routage de l'assistance vers les personnes situées dans l'UE, y compris les sous-traitants
Visibilité sur les demandes et les accès d'accès administrateur.
Approbations d'accès basées sur des règles (contrôles souverains uniquement)
Options personnalisées pour le chiffrement des données et la gestion des clés
Exemples de champs courants non recommandés pour les données sensibles ou réglementées
Nous recommandons vivement à tous les clients réglementés et souverains de faire preuve de prudence lorsqu'ils saisissent des données dans les services Google Cloud . Il est essentiel d'éviter d'ajouter des données sensibles ou réglementées dans des champs de saisie courants qui ne sont pas nécessairement protégés par des contrôles techniques ou qui ne sont pas inclus dans la limite de contrôle technique des charges de travail assurées. Cette pratique est nécessaire pour garantir la conformité avec les exigences réglementaires et protéger vos informations sensibles ou réglementées. Pour vous aider, nous avons compilé une liste d'exemples dans différents Google Cloud services où une vigilance accrue est requise.
Évitez de placer vos données sensibles ou réglementées dans les champs courants suivants:
Noms et ID des ressources
Noms et ID des projets ou des dossiers
Tous les champs ou libellés de description
Métriques basées sur les journaux
Tailles de VM et configurations de service similaires
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/09/01 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/09/01 (UTC)."],[[["\u003cp\u003eCustomers are responsible for identifying and configuring security controls within Google Cloud to protect their confidential data and meet regulatory requirements.\u003c/p\u003e\n"],["\u003cp\u003eAssured Workloads helps customers meet high compliance requirements by allowing them to place sensitive or regulated data in protected folders or projects, and also aids in configuring appropriate IAM for the resources.\u003c/p\u003e\n"],["\u003cp\u003eGoogle is responsible for foundational infrastructure security, enforcing customer-defined IAM policies, and applying Assured Workloads controls according to the selected compliance regime.\u003c/p\u003e\n"],["\u003cp\u003eCustomers should avoid placing sensitive or regulated data in common input fields like resource names, descriptions, or timestamps, as these fields may not be protected by the Assured Workloads technical controls.\u003c/p\u003e\n"],["\u003cp\u003eAssured Workloads for EU Regions or Sovereign Controls for EU offer extra technical controls, including an EU data boundary, support routing to EU locations, visibility into administrative accesses, and custom options for data encryption.\u003c/p\u003e\n"]]],[],null,["# Shared responsibility in Assured Workloads\n==========================================\n\nThis page describes shared responsibility in Assured Workloads. For\ngeneral information about shared responsibility in Google Cloud, see\n[Shared responsibilities and shared fate on Google Cloud](/architecture/framework/security/shared-responsibility-shared-fate).\n\nShared responsibility for data\n------------------------------\n\nYou're the expert in knowing the security and regulatory requirements for your business and\nknowing the requirements for protecting your confidential data and resources. When you run your\nworkloads on Google Cloud, you must identify the security controls that you need to configure\nin Google Cloud to help protect your confidential data and each workload. To decide which\nsecurity controls to implement, you must consider the following factors:\n\n- Your regulatory compliance obligations\n- Your organization's security standards and risk management plan\n- Security requirements of your customers and your vendors\n\nThe protection of your data is a primary design consideration for all of Google's\ninfrastructure, products, and personnel operations. Google Cloud provides strong security for\nmany data types, including [Customer Data](/terms/data-processing-addendum) and\n[Service Data](/terms/cloud-privacy-notice). However, if your workloads must meet\nspecific regulatory requirements or are subject to national standards that require elevated security\ncontrols, your internal policies may differ from default configuration options. If you have such\nrequirements, we recommend adopting additional tools and techniques to help maintain your required\nlevel of compliance and enable your team to follow the best practices of data management and overall\ncybersecurity management.\n\nConfigure Google Cloud and Assured Workloads for shared responsibility\n----------------------------------------------------------------------\n\nThe following areas are customer responsibilities as a user of any public cloud:\n\n- Understanding what portions of your data have different compliance and security requirements. Most cloud customers have some IT infrastructure which requires general commercial security, and some customers have specific data, such as health data, which must meet a higher compliance requirement. Assured Workloads can help to meet those higher compliance requirements. Place any sensitive or regulated data with specific access or residency requirements inside appropriate Assured Workloads folders or projects and keep it there.\n- Configuring Identity and Access Management (IAM) to ensure that the contents of your organization are accessed and modifiable by the appropriate personnel.\n- Creating and organizing your organizational hierarchy such that it does not expose personal data.\n- Ensuring you have read all documentation to understand and follow best practices.\n- Sharing information prudently during technical support sessions and troubleshooting, and **not placing or sharing sensitive or regulated data** outside compliant Assured Workloads folders.\n\nThe scope of sensitive or regulated data can vary depending on many factors including regulations\nyou or your customers are subject to and can include:\n\n- Account information\n- Health information\n- Personal identifiers for customers or users\n- Cardholder data\n- ID numbers\n\nGoogle's responsibilities in the shared responsibility model\n------------------------------------------------------------\n\nIn the shared responsibility partnership between Google and customers, Google takes\nresponsibility for the foundational elements and infrastructure of building a successful cloud\nbusiness, some of which rely on customers undertaking their responsibilities to configure\nGoogle Cloud to adequately protect their data. Examples of Google's responsibilities\ninclude:\n\n- Applying [default encryption](/docs/security/encryption/default-encryption) and [infrastructure controls](/docs/security/infrastructure/design).\n- Enforcing the IAM policies that you set to restrict workload administration and data access to the identities that you identify.\n- Configuring and enforcing any customer-selected Assured Workloads controls associated with your selected compliance regime, for the protected data types in the resources you have configured it for. This includes restrictions on where data will be stored and which Google employees can have access to your data in the course of their appropriate business activities.\n- Providing configurations and controls through Assured Workloads for regulated industries and locationally sensitive data.\n- Providing [Organization policies](/resource-manager/docs/organization-policy/overview) and [resource settings](/resource-manager/docs/cloud-platform-resource-hierarchy) that let you configure policies throughout your hierarchy of folders and projects.\n- Providing [Policy Intelligence tools](/policy-intelligence/docs/overview) that give you insights on access to accounts and resources.\n\nConfiguration specific to Europe and the EU\n-------------------------------------------\n\nWhen using Assured Workloads for EU Regions or Sovereign Controls for EU, customers have\nadditional technical controls on top of the GDPR assurances made on Google Cloud that they can\nuse to adjust their data residency and security controls as part of their compliance efforts. Some\nof these controls include:\n\n- An EU data boundary as further described in [Data residency](/assured-workloads/docs/data-residency).\n- Support routing to EU persons in EU locations, including subprocessors.\n- Visibility into Administrative Access requests and accesses.\n- Policy-driven access approvals (Sovereign Controls only).\n- Custom options for data encryption and key management.\n\nExamples of common fields that are not recommended for sensitive or regulated data\n----------------------------------------------------------------------------------\n\nWe strongly recommend all regulated and sovereign customers to exercise caution when inputting\ndata into Google Cloud services. It's critical to avoid adding sensitive or regulated data\ninto common input fields that may not be protected by technical controls or aren't included in the\nAssured Workloads technical control boundary. This practice is necessary to maintain compliance with\nregulatory requirements and safeguards your sensitive or regulated information. To assist you, we\ncompiled a list of examples across various Google Cloud services where extra vigilance is\nrequired.\n\nAvoid placing your sensitive or regulated data in the following common fields:\n\n- Resource names and IDs\n- Project or folder names and IDs\n- Any description fields or labels\n- Log-based metrics\n- VM sizes and similar service configurations\n- URIs or file paths\n- Timestamps\n- User IDs\n- Firewall rules\n- Security scanning configurations\n- Customer IAM policies\n\nWhat's next\n-----------\n\n- Learn more about [Shared responsibilities and shared fate on Google Cloud](/architecture/framework/security/shared-responsibility-shared-fate)."]]
