Аутентифицировать запрос AppSync с помощью adminInitiateAuth

Пост https://read.acloud.guru/backend-graphql-how-to-trigger-an-aws-appsync-mutation-from-aws-lambda-eda13ebc96c3 описывает хороший способ вызова мутаций AppSync с использованием простого HTTP запросы от Lambda, при условии, что аутентификация IAM используется в AppSync, но я бы хотел сделать это с AMAZON_COGNITO_USER_POOLS.

Это делается путем подписания запроса с использованием учетных данных IAM. Насколько я мог определить, когда используется AMAZON_COGNITO_USER_POOLS, запросы не подписаны, а поставляются с токеном JWT, но я изо всех сил пытаюсь найти детали того, как это работает. AWS.CognitoIdentityServiceProvider предоставляет adminInitiateAuth в качестве простого способа получения токенов пула пользователей внутри лямбды, но я не знаю, как использовать эти токены для аутентификации HTTP-запросов для AppSync. Могу ли я просто поместить их в определенный заголовок или процесс более сложный?