# Permitir acesso a ML com o Athena
<a name="machine-learning-iam-access"></a>

Os principais do IAM que executam consultas de ML do Athena devem ter permissão para executar a ação `sagemaker:invokeEndpoint` para os endpoints do SageMaker que eles usam. Inclua uma instrução de política semelhante à seguinte em políticas de permissões baseadas em identidade anexadas a identidades de usuário. Além disso, anexe [AWSPolítica gerenciada pela : AmazonAthenaFullAccess](security-iam-awsmanpol.md#amazonathenafullaccess-managed-policy), que concede acesso completo às ações do Athena, ou uma política em linha modificada que permita um subconjunto de ações.

Substitua `arn:aws:sagemaker:region:AWSAcctID:ModelEndpoint` no exemplo pelo ARN ou ARNs de endpoints do modelo a serem usados em consultas. Para obter mais informações, consulte [Actions, resources, and condition keys for SageMaker AI](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html) na *Referência de autorização do serviço*.

```
{
            "Effect": "Allow",
            "Action": [
                "sagemaker:invokeEndpoint"
            ],
            "Resource": "arn:aws:sagemaker:us-west-2:123456789012:workteam/public-crowd/default"
}
```

Sempre que você usar as políticas do IAM, siga as práticas recomendadas do IAM. Para obter mais informações, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.