AWS Cognito是一种用于身份验证、授权和用户管理的服务。它允许您创建和管理用户池，其中包含用户的身份信息和访问权限。在AWS Cognito中，您可以使用自定义用户角色来为用户分配特定的授权权限。

以下是一个使用AWS Cognito自定义用户角色用于授权的解决方法，包含代码示例：

1. 创建自定义用户角色的IAM策略

首先，您需要在AWS Identity and Access Management（IAM）中创建一个自定义策略，该策略定义了用户在Cognito中的授权权限。以下是一个示例策略：

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cognito-idp:AdminGetUser",
        "cognito-idp:AdminUpdateUserAttributes"
      ],
      "Resource": [
        "arn:aws:cognito-idp:region:account-id:userpool/user/${cognito-username}"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "dynamodb:PutItem",
        "dynamodb:DeleteItem"
      ],
      "Resource": "arn:aws:dynamodb:region:account-id:table/table-name"
    }
  ]
}

在上面的示例中，策略允许用户执行AdminGetUser和AdminUpdateUserAttributes操作，以及在DynamoDB表上执行PutItem和DeleteItem操作。

2. 创建自定义用户角色

接下来，您需要创建一个自定义用户角色，并将上一步中创建的IAM策略附加到该角色上。您可以使用AWS管理控制台或AWS CLI来完成此操作。

• 使用AWS管理控制台：导航到IAM控制台，创建一个新的角色，并将上一步中创建的IAM策略附加到该角色上。
• 使用AWS CLI：使用create-role命令创建一个新的角色，并使用attach-role-policy命令将上一步中创建的IAM策略附加到该角色上。

3. 在Cognito中配置自定义用户角色

在AWS Cognito控制台中，导航到用户池设置页面，并选择“应用客户端设置”。在此页面中，您可以配置用户池以使用自定义用户角色。

• 在“应用客户端设置”页面的“身份提供商”部分，启用“允许自定义身份提供程序”选项，并选择自定义用户角色。
• 在“自定义身份提供程序”部分，输入自定义用户角色的ARN（Amazon Resource Name）。

4. 在应用程序中使用自定义用户角色

现在，您可以在应用程序中使用AWS SDK或AWS CLI来进行身份验证，并使用自定义用户角色进行授权。以下是一个使用AWS SDK for JavaScript（Node.js）的示例代码：

const AWS = require('aws-sdk');
const cognito = new AWS.CognitoIdentityServiceProvider();

const params = {
  UserPoolId: 'user-pool-id',
  Username: 'user-username',
};

cognito.adminGetUser(params, function(err, data) {
  if (err) {
    console.log(err, err.stack);
  } else {
    console.log(data);
  }
});

在上面的示例中，adminGetUser方法使用自定义用户角色执行Cognito操作。您可以根据自己的需求调整代码，执行其他操作或使用其他AWS服务。

这就是使用AWS Cognito自定义用户角色进行授权的解决方法。您可以根据自己的需求调整代码和策略，以实现更复杂的授权逻辑。