允许访问 Athena 的 ML - Amazon Athena
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

允许访问 Athena 的 ML

必须允许运行 Athena ML 查询的 IAM 委托人执行sagemaker:invokeEndpoint操作,用于他们使用的 Sagemaker 终端节点。在附加到用户身份且基于身份的权限策略中包括类似于下面的策略语句。此外,附加Amazon托管策略:AmazonAthenaFullAccess,该策略授予对 Athena 操作的完全访问权限,或者允许操作子集的已修改内联策略。

将示例中的 arn:aws:sagemaker:region:AWSAcctID:ModelEndpoint 替换为要在查询中使用的模型终端节点的 ARN。有关更多信息,请参阅 。SageMaker 的操作、资源和条件键中的服务授权参考

{ "Effect": "Allow", "Action": [ "sagemaker:invokeEndpoint" ], "Resource": "arn:aws:sagemaker:us-west-2:123456789012:workteam/public-crowd/default" }

每当您使用 IAM 策略时,请确保遵循 IAM 最佳实践。有关更多信息,请参阅 。IAM 中的安全最佳实践中的IAM 用户指南