Tengo una función Lambda que maneja solicitudes POST activadas por API Gateway. Este último está configurado para autorizar a través de un autorizador de grupo de usuarios de Cognito. La autorización funciona: si paso el token de identificación de un usuario, se procesa la solicitud; si no, obtengo un 401.

Sin embargo, no puedo obtener la identidad del usuario autorizado en la función Lambda. Toda la documentación me hace creer que debería estar en el contexto, pero no lo es. Tampoco puedo mapearlo allí. Además, tampoco parece haber una forma de consultar el grupo de usuarios para un usuario dado su token de ID.

¿Necesito un grupo de identidad para lograr esto? Si es así, ¿cómo funciona eso? ¿Y por qué la puerta de enlace API no transmitiría automáticamente la identidad del usuario?