Athena ML クエリを実行する IAM プリンシパルには、使用する Sagemaker エンドポイントに対する sagemaker:invokeEndpoint アクションの実行が許可されている必要があります。ユーザー ID にアタッチされた ID ベースのアクセス許可ポリシーに、次のようなポリシーステートメントを含めます。さらに、Athena アクションへの完全なアクセス権を付与する AWS 管理ポリシー: AmazonAthenaFullAccess、またはアクションのサブセットを許可する、変更されたインラインポリシーをアタッチします。
例 の arn:aws:sagemaker: を、クエリで使用するモデルエンドポイントの ARN または ARN に置き換えます。詳細については、「サービス承認リファレンス」の「SageMaker AI のアクション、リソース、および条件キー」を参照してください。region:AWSAcctID:ModelEndpoint
{
"Effect": "Allow",
"Action": [
"sagemaker:invokeEndpoint"
],
"Resource": "arn:aws:sagemaker:us-west-2:123456789012:workteam/public-crowd/default"
}
IAM ポリシーを使用するときは、常に IAM のベストプラクティスに従うようにしてください。詳細については、「IAM ユーザーガイド」の「IAM でのセキュリティベストプラクティス」を参照してください。
