# Permiso de acceso para ML con Athena
<a name="machine-learning-iam-access"></a>

Las entidades principales de IAM que ejecutan consultas de ML de Athena deben tener permiso para realizar la acción `sagemaker:invokeEndpoint` para los puntos de conexión de SageMaker que utilizan. Incluya una instrucción de política similar a la siguiente en las políticas de permisos basadas en identidad asociadas a identidades de usuario. Además, adjunte [AWSPolítica administrada de : AmazonAthenaFullAccess](security-iam-awsmanpol.md#amazonathenafullaccess-managed-policy), que proporciona acceso completo a las acciones de Athena, o una política insertada modificada que permite un subconjunto de acciones.

Reemplace `arn:aws:sagemaker:region:AWSAcctID:ModelEndpoint` en el ejemplo por el ARN o los ARN de los puntos de conexión del modelo que se utilizarán en las consultas. Para obtener más información, consulte [Acciones, recursos y claves de condición de SageMaker IA](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html) en la *Referencia de autorizaciones de servicio*.

```
{
            "Effect": "Allow",
            "Action": [
                "sagemaker:invokeEndpoint"
            ],
            "Resource": "arn:aws:sagemaker:us-west-2:123456789012:workteam/public-crowd/default"
}
```

Siempre que utilice políticas de IAM, compruebe que sigue las mejores prácticas IAM. Para más información, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.