В пуле пользователей Cognito можно определить как пользователей, так и группы, которые можно использовать для получения детальных разрешений RBAC.Вы можете определить пользовательский атрибут в модели пользователя (например, «отдел» или «роль») и сопоставить этот атрибут с группами.
https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-user-groups.html
Каждая группа может быть дополнительно связана сроль IAM, поэтому можно ограничить доступ к ресурсам AWS (например, определенным таблицам DynamoDB) по группам - как дополнительный уровень безопасности.
Однако, если вам не нужно / не нужно отображать пользователейдля различных ролей IAM, может быть, просто обрабатывать аутентификацию полностью из вашего приложения.