# Athena를 통한 ML에 액세스 허용
<a name="machine-learning-iam-access"></a>

Athena ML 쿼리를 실행하는 IAM 보안 주체는 자신이 사용하는 Sagemaker 엔드포인트 대한 `sagemaker:invokeEndpoint` 작업을 수행할 수 있어야 합니다. 사용자 자격 증명에 연결된 ID 기반 권한 정책에 다음과 유사한 정책 문을 포함합니다. 또한 Athena 작업에 대한 전체 액세스 권한을 부여하는 [AWS 관리형 정책: AmazonAthenaFullAccess](security-iam-awsmanpol.md#amazonathenafullaccess-managed-policy), 또는 작업의 하위 집합을 허용하는 수정된 인라인 정책을 연결합니다.

예제에서 `arn:aws:sagemaker:region:AWSAcctID:ModelEndpoint`를 쿼리에 사용할 모델 엔드포인트의 ARN 또는 ARN으로 바꿉니다. 자세한 내용은 *서비스 권한 부여 참조*에서 [SageMaker AI에 사용되는 작업, 리소스 및 조건 키](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html)를 참조하세요.

```
{
            "Effect": "Allow",
            "Action": [
                "sagemaker:invokeEndpoint"
            ],
            "Resource": "arn:aws:sagemaker:us-west-2:123456789012:workteam/public-crowd/default"
}
```

IAM 정책을 사용할 때마다 IAM 모범 사례를 따라야 합니다. 자세한 내용은 *IAM 사용 설명서*의 [IAM 보안 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)를 참조하세요.