Com o mecanismo docker padrão, é tudo ou nada por usuário. Qualquer usuário com acesso ao docker em um host efetivamente tem acesso root nesse host (eles podem iniciar um contêiner docker com um volume de host montado em / e alterar qualquer coisa que desejarem). O acesso do usuário é controlado por permissões de grupo (o grupo docker) para soquetes unix e o fd que usa systemd, ou por certificados TLS do cliente, se você configurar o TLS e configurar o daemon para escutar no 2376.
Para mais configurabilidade, recomendo analisar produtos como o Universal Control Plane, que adiciona controle de acesso baseado em função.