Os principais do IAM que executam consultas de ML do Athena devem ter permissão para executar a ação sagemaker:invokeEndpoint para os endpoints do SageMaker que eles usam. Inclua uma instrução de política semelhante à seguinte em políticas de permissões baseadas em identidade anexadas a identidades de usuário. Além disso, anexe Política gerenciada pela AWS: AmazonAthenaFullAccess, que concede acesso completo às ações do Athena, ou uma política em linha modificada que permita um subconjunto de ações.
Substitua arn:aws:sagemaker: no exemplo pelo ARN ou ARNs de endpoints do modelo a serem usados em consultas. Para obter mais informações, consulte Actions, resources, and condition keys for SageMaker AI na Referência de autorização do serviço.region:AWSAcctID:ModelEndpoint
{
"Effect": "Allow",
"Action": [
"sagemaker:invokeEndpoint"
],
"Resource": "arn:aws:sagemaker:us-west-2:123456789012:workteam/public-crowd/default"
}
Sempre que você usar as políticas do IAM, siga as práticas recomendadas do IAM. Para obter mais informações, consulte Práticas recomendadas de segurança no IAM no Guia do usuário do IAM.
