Это нужно сделать на уровне выше докера. Самое большее, что вы можете сделать только с помощью механизма CE, - это настроить агент открытой политики, но я не думаю, что он обладает желаемой степенью детализации или юзабилити. Инструменты, работающие поверх докера, такие как UCP, предоставляют такую функциональность.
С точки зрения низкоуровневой подсистемы этот запрос не имеет особого смысла, поскольку docker - это инструмент уровня системного администратора, предоставляющий каждому пользователю доступ к корневому доступу API на хосте, который дает каждому пользователю докера доступ ко всему.