S3 Block Public Access*1 をアカウントレベルで設定すれば、アカウントレベルで S3 バケットで Public 公開できなくなるが、さらに S3 バケットポリシー*2 + S3 Access Point（+ S3 Access Point ポリシー）で 特定の IP アドレスや VPC からのみアクセス許可することでより強固にすることができる。例外的に特定の IAM ロールからマネコンや AWS CLI からのアクセスを許可したい場合はバケットポリシー*3で許可することができる。この構成にした場合、Glue Job は VPC 内（正確には VPC 接続を作って）に作成する必要がある。