Access tokenとid tokenの使い分け

開発者が ID トークンで犯す最も一般的な間違いの 1 つは、それを使用して API を呼び出すことです。

参考: id token と access token の違い
https://auth0.com/blog/amp/id-token-access-token-what-is-the-difference/

api accessのための権限情報をカスタムのユーザー属性に追加しないように気をつけること。

これはid tokenに付加される情報であり、APIの認証認可に使うものではない。

フロントエンドに権限を表示するために使うのであればOK

https://docs.aws.amazon.com/ja_jp/cognito/latest/developerguide/user-pool-settings-attributes.html

cognito は最近、access tokenにカスタムスコープが適用できるようになった。

APIの認可にはこちらを使うこと

https://aws.amazon.com/jp/about-aws/whats-new/2023/12/amazon-cognito-user-pools-customize-access-tokens/

amplifyのドキュメントにも以下のように書いてある

IDトークンは、フロントエンドアプリケーション内でのみ使用することを意図しています。このトークンには個人を特定できる情報 (PII) が含まれており、リソースへのアクセスを許可するために使用しないでください。

https://docs.amplify.aws/react/build-a-backend/auth/concepts/tokens-and-credentials/