Динамически создавать apparmor шляпы / профили

Мы запускаем приложение внутри apparmor, которое выполняет пользовательский код, когда мы выполняем пользовательский код, я хотел бы динамически генерировать профиль, который ограничивает их доступ для записи в каталог на основе их идентификатора пользователя.

Apparmor поддерживает это хорошо? Единственный способ сделать это - создать временный профиль с соответствующей записью, ограничивающей их разрешения, и перезапустить демон apparmor. Есть лучший способ сделать это? Это похоже на излишество.