Você pode ter mais sorte montando o volume em um diretório na máquina host (como na montagem fora das montagens / var / lib / docker). O conveniente de fazer isso é que você pode usar setfacl para definir recursivamente as permissões padrão no diretório para serem rw por www-data, apenas defina explicitamente o uid ao criar o container para o usuário www-data e usá-lo para o defina as permissões do host, pois o usuário nomeado provavelmente não existirá no host.
Uma coisa adicional que você pode querer investigar é não executar nada em seu contêiner como root. Mesmo que a sua instância do Apache esteja vinculada a uma porta, o < 1024 pode usar algo como o seguinte para permitir uma baixa ligação de portas sem nenhuma permissão de root:
setcap cap_net_bind_service=+ep <your Apache binary>
Embora, a porta à qual você está ligando não deva importar de dentro do contêiner porque você poderia, por exemplo, mapear a porta 8080 para uma porta host diferente em tempo de execução.
Se você adicionar uma diretiva USER ao final do seu arquivo docker, não deverá haver nenhuma instância de permissões mistas.