# Athena で ML へのアクセスを許可する Athena ML クエリを実行する IAM プリンシパルには、使用する Sagemaker エンドポイントに対する `sagemaker:invokeEndpoint` アクションの実行が許可されている必要があります。ユーザー ID にアタッチされた ID ベースのアクセス許可ポリシーに、次のようなポリシーステートメントを含めます。さらに、Athena アクションへの完全なアクセス許可を付与する [AWS 管理ポリシー: AmazonAthenaFullAccess](security-iam-awsmanpol.md#amazonathenafullaccess-managed-policy)、またはアクションのサブセットを許可する、変更されたインラインポリシーをアタッチします。 例 の `arn:aws:sagemaker:region:AWSAcctID:ModelEndpoint` を、クエリで使用するモデルエンドポイントの ARN または ARN に置き換えます。詳細については、「*サービス承認リファレンス*」の「[SageMaker AI のアクション、リソース、および条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html)」を参照してください。 ``` { "Effect": "Allow", "Action": [ "sagemaker:invokeEndpoint" ], "Resource": "arn:aws:sagemaker:us-west-2:123456789012:workteam/public-crowd/default" } ``` IAM ポリシーを使用するときは、常に IAM のベストプラクティスに従うようにしてください。詳細については、「*IAM ユーザーガイド*」の「[IAM でのセキュリティベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)」を参照してください。