当然有！AWS Cognito确实提供了AdminInitiateAuth的原生REST API，完全不需要依赖CLI或者任何SDK就能调用——这正好适配你这种无法使用SDK的构建环境。

• HTTP方法：POST
• 端点格式：https://cognito-idp.<你的AWS区域>.amazonaws.com/
  举个例子，如果你用的是美国东部（弗吉尼亚北部）区域，端点就是https://cognito-idp.us-east-1.amazonaws.com/

因为这是受IAM权限管控的Admin级API，调用时必须满足两个核心条件：

1. 请求签名：必须使用AWS Signature Version 4对请求进行签名——这是所有AWS REST API的通用安全要求，用来验证请求的合法性。如果你没法用SDK，就得自己手动实现SigV4的签名逻辑（包括构造待签字符串、计算HMAC哈希等步骤），这是整个流程里最繁琐的部分，但也是必须的。
2. 必填请求头：
   • X-Amz-Target：固定值为AWSCognitoIdentityProviderService.AdminInitiateAuth
   • Content-Type：固定值为application/x-amz-json-1.1
   • 另外还有签名过程中生成的头信息，比如Authorization、X-Amz-Date等，这些都要包含在请求里。

你需要根据自己的用户池信息替换下面的占位内容：

{
  "AuthFlow": "ADMIN_USER_PASSWORD_AUTH",
  "ClientId": "你的Cognito用户池客户端ID",
  "UserPoolId": "你的Cognito用户池ID",
  "AuthParameters": {
    "USERNAME": "目标用户的用户名",
    "PASSWORD": "目标用户的密码"
  }
}

提示：AuthFlow还有其他可选值，比如ADMIN_NO_SRP_AUTH，你可以根据自己的认证场景选择合适的类型。

调用成功后，你会收到包含所需令牌的JSON响应，格式大概是这样：

{
  "AuthenticationResult": {
    "AccessToken": "eyJraWQiOiJ...",
    "ExpiresIn": 3600,
    "IdToken": "eyJraWQiOiJ...",
    "RefreshToken": "eyJjdHkiOiJKV1QiLCJlbmMiOiJBMjU2R0NN...",
    "TokenType": "Bearer"
  }
}

• 确保你用来发起请求的IAM实体（比如IAM用户或角色）已经被授予cognito-idp:AdminInitiateAuth的权限，否则会返回权限拒绝的错误。
• 如果手动实现SigV4签名遇到困难，可以参考AWS官方的SigV4规范逻辑步骤（无需依赖SDK，只关注签名的核心流程）。

内容的提问来源于stack exchange，提问作者Naresh