要在AWS Lambda函数中使用Cognito进行默认访问控制，可以按照以下步骤进行操作：

1. 在AWS Management Console中，打开Cognito服务，并创建一个用户池（User Pool）。
2. 在用户池中，创建一个用户组（User Group），并添加用户到该组中。
3. 在用户池中，创建一个应用程序客户端（App Client），并启用“允许用户通过应用程序客户端进行身份验证（Allow users to sign in through your app client）”选项。
4. 在AWS Management Console中，打开Lambda服务，并创建一个新的Lambda函数。
5. 在函数代码中，引入aws-sdk，jsonwebtoken和jwk-to-pem这三个模块。

const AWS = require('aws-sdk');
const jwt = require('jsonwebtoken');
const jwkToPem = require('jwk-to-pem');

6. 创建一个函数来验证Cognito令牌。此函数将通过解码和验证令牌来验证用户的访问权限。

const verifyToken = async (token) => {
  const cognitoIssuer = `https://cognito-idp.${process.env.REGION}.amazonaws.com/${process.env.USER_POOL_ID}`;
  const keysUrl = `${cognitoIssuer}/.well-known/jwks.json`;

  const response = await new AWS.HttpClient().handleRequest({
    method: 'GET',
    url: keysUrl,
    headers: {
      'Content-Type': 'application/json',
    },
  });

  const keys = JSON.parse(response.body).keys;
  const key = keys.find((k) => k.kid === decodedToken.header.kid);
  const pem = jwkToPem(key);

  jwt.verify(token, pem, (error) => {
    if (error) {
      throw new Error('Invalid token');
    }
  });
};

7. 在Lambda函数的处理程序中，获取传入的请求头中的令牌，并调用验证函数来验证令牌。

exports.handler = async (event) => {
  const token = event.headers.Authorization;
  
  try {
    await verifyToken(token);
    // 令牌验证成功，继续执行其他逻辑
  } catch (error) {
    console.error(error);
    return {
      statusCode: 401,
      body: 'Unauthorized',
    };
  }
};

请注意，上述代码仅用于示例目的。您需要根据自己的应用程序和Cognito用户池的配置进行适当的修改。