Разрешить пользователю jenkins запуск только конкретного контейнера docker

Есть пользователь jenkins, которому нельзя давать sudo, и которого нельзя добавлять в группу docker, поскольку это равносильно sudo. Могу ли я как-либо дать возможность этому пользователю собрать образ из конкретного dockerfile и запустить этот образ?

У меня web-интерфейс jenkins доступен из интернета, поскольку нескольким пользователям нужно подключаться из дома, но при этом нет возможности сделать VPN. Вся безопасность в данном случае ограничивается одним паролем, отсюда была идея ограничить права пользователя jenkins до самого минимума, который как раз включает в себя сборку и запуск контейнера