Я понял это сам и обнаружил, что триггер Cognito «Pre-Token generation» лямбда поддерживает единственную поправку к токенам ID, а не к токенам доступа. Таким образом, это будет работать только в том случае, если фактический пользователь пытается получить токен, а не для клиентов приложения, поскольку клиенты приложения получают только токен доступа.