Я не знаю, почему этот человек сказал вам реализовать логику на внешнем интерфейсе, когда вы можете легко сделать это, используя политики Cognito и IAM. Прежде всего вам нужен только один пул пользователей. Вы можете создать 3 группы в этом пуле, а также создавать и присоединять необходимые роли к этим группам в зависимости от того, какие права вы хотите, чтобы они имели. Затем создайте объединенный пул удостоверений, выберите пул пользователей Cognito, который вы только что создали в качестве поставщика удостоверений, и выберите «выбрать роль из токена» в раскрывающемся списке под ним.
Теперь все, что вам нужно сделать на переднем крае, это предоставить экран входа в систему и вызвать sdk реагировать на aws cognito.