С помощью поддержки AWS у меня есть ответ.
Если вы хотите использовать токены доступа (против идентификационных токенов) со шлюзом API, настроенным для авторизации Cognito, вы должны:
1) определить сервер ресурсов в пуле пользователей.Определение сервера ресурсов логически идентифицирует ресурс (например, шлюз API или пользовательский API), а также определяет настраиваемые области действия, которые определяют действия, которые вызывающий абонент может выполнять с этим ресурсом.Вы можете определить одну область, если все абоненты имеют одинаковые привилегии.
2) в настройках клиента приложения из пула пользователей вы увидите свою настраиваемую область, указанную под списком стандартных областей.Если вы хотите, чтобы приложение, использующее этот пользовательский клиент, имело привилегии, подразумеваемые пользовательской областью, отметьте эту область.
3) в определении шлюза api для метода ресурса (например, GET, PUT или POST) укажите область (и), которым разрешен доступ к этому методу для этого ресурса.
Это оно.Подробнее см. https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-define-resource-servers.html