我们的AWS帐户上有多个租户的应用程序,希望区分不同IAM角色的租户。在大多数地方,这已经可以通过基于命名模式限制资源访问来实现。
然而,对于CloudWatch的SageMaker培训工作日志组,我还没有看到一个有效的解决方案。租户可以任意选择作业名称,因此LogGroup名称中唯一可用于模式匹配的部分将是作业名称之前的前缀。然而,这个前缀似乎固定为/aws/sagemaker/TrainingJobs。
有没有办法改变或扩展这个前缀,使这种限制成为可能?比方说,例如/aws/sagemaker/TrainingJobs/<product>-<stage>-<component>/<training-job-name>-...,这样像/aws/sagemaker/TrainingJobs/<product>-*这样的资源限制就成为可能了?
我认为不可能更改任何SageMaker服务的日志流名称。