Marco que define qué partes de la seguridad gestiona el proveedor cloud y cuáles son responsabilidad del cliente. Varía según el modelo de servicio: en IaaS el cliente gestiona más, en SaaS el proveedor gestiona casi todo.
Tema central en AZ-900 y CLF-C02. Regla base: el proveedor es siempre responsable de la seguridad "de" la nube (hardware, red física). El cliente es siempre responsable de la seguridad "en" la nube (datos, identidades, permisos).