下面是一个使用API网关和自定义Lambda授权者验证传递的头部值是否存在于Cognito用户池群组中的示例代码：

1. 创建一个Lambda函数来验证用户的授权信息：

import json
import boto3

def lambda_handler(event, context):
    # 获取传递的头部值
    username = event['headers'].get('Username')
    
    # 验证用户名是否存在于Cognito用户池群组中
    client = boto3.client('cognito-idp')
    response = client.admin_list_groups_for_user(
        UserPoolId='YOUR_USER_POOL_ID',
        Username=username
    )
    
    # 检查用户是否在群组中
    groups = response['Groups']
    if len(groups) == 0:
        return {
            'statusCode': 403,
            'body': 'User is not authorized to access this resource'
        }
    
    # 用户已经验证，可以继续处理请求
    return {
        'statusCode': 200,
        'body': 'User is authorized'
    }

2. 在AWS控制台中创建一个Lambda函数，并将上述代码复制到函数中。

3. 在API网关中创建一个自定义Lambda授权者：

• 在API网关的“授权者”部分，选择“自定义Lambda授权者”，然后选择上一步创建的Lambda函数作为授权函数。

4. 在API网关的资源或方法中添加一个“授权”：

• 在API网关中选择要添加授权的资源或方法。
• 在资源或方法的“授权”选项卡中，选择“自定义Lambda授权者”。
• 在“自定义Lambda授权者名称”字段中输入Lambda授权者的名称。

5. 在API网关中添加一个请求身份验证模板：

• 在API网关中选择资源或方法。
• 在资源或方法的“集成请求”选项卡中，选择“身份验证”部分。
• 在“身份验证”部分的“请求身份验证模板”字段中输入以下代码：

{
  "headers": {
    "Username": "$input.params('username')"
  }
}

6. 部署API网关：

• 在API网关中选择资源或方法。
• 在资源或方法的“操作”选项卡中，选择“部署API”。
• 选择要部署的阶段。

现在，当客户端通过API网关发送请求时，API网关将使用自定义Lambda授权者验证传递的头部值是否存在于Cognito用户池群组中。只有当用户在群组中时，API网关才会允许请求通过。否则，API网关将返回一个403状态码和相应的错误消息。