Eu estava planejando reformular a pergunta depois que a recompensa foi definida, infelizmente essa semana tem sido louca e eu não tive tempo para isso.
Depois de analisar mais e ter certeza de que não houve resposta com uma solução ou, pelo menos, um pouco mais de interesse, entendo que tentar fazer o que eu queria é provavelmente arquitetura ruim.
O que eu fiz no final para evitar o uso de sudo dentro de contêineres foi montar um caminho de host como um volume e usar um observador de arquivos no host que executa os contêineres específicos do trabalho quando o aplicativo principal cria novos arquivos pedindo processamento sob esse caminho.