Доступ к ролевой базе из cognito с помощью только пула пользователей

Я использую Cognito для аутентификации, и он прекрасно работает.

Теперь мы хотим назначить пользователей в группы, и только определенные группы пользователей смогут получить доступ к определенным конечным точкам и видеть определенные страницы пользовательского интерфейса при входе в наше приложение через cognito.

Я не думаю, что нам нужен пул удостоверений, потому что у пользователя нет сервисов Amazon для доступа.

Есть ли что-нибудь, что я могу использовать в Cognito, кроме хранения идентификатора пользователя в токене, а затем поиска на сервере, чтобы узнать, в какой роли находится пользователь.

Могу ли я, возможно, oauth2 области?