以下覚書。
Catalina からはディスクあるいはシステムディスクあるいはホームディレクトリの任意のフォルダへアクセスするのに初回だけ許可が必要となり、例えば launchctl で bash を走らせて(zshじゃなくてごめんなさい) rsync を走らせてバックアップを外部ディスクに作る場合なんかにも当てはまる。 チェックがてら launchctl の plist をターミナルで走らせる場合はGUIでターミナルの許可ダイアログが出るけど、本番環境の launchctl はターミナルを経由しないのでどうすればいいんだって話。
システム環境 > セキュリティとプライバシー > プライバシー > フルディスクアクセス
に、plistに記述した起動コマンド(アプリケーション)を登録するといい。
ただこの場合、どこまで登録すればいいのかよくわからんちんなので、上から、というか起動していく順番に登録していけばいいんじゃないかと思われる。 先の例だと launchctl > bash > rsync なので、一番いいのは全部ぶっこむことなんだろうけど、セキュリティを重視するんであればいっこいっこ登録しては試すのが肝要かもしれない。