要实现AWS多租户与Cognito + API Gateway + Lambda自定义角色的解决方案，你可以按照以下步骤进行操作：

1. 创建Cognito用户池：在AWS控制台中，选择Cognito服务，创建一个新的用户池。配置用户池的相关设置，例如用户池名称、登录选项等。确保启用“应用程序客户端”和“身份提供商”。

2. 创建API Gateway API：在AWS控制台中，选择API Gateway服务，创建一个新的API。配置API的相关设置，例如API名称、资源路径等。在“身份验证”选项中，选择Cognito用户池作为身份提供者，并选择先前创建的用户池。

3. 创建Lambda函数：使用AWS Lambda创建一个新的函数，并编写自定义的角色策略。该策略将定义Lambda函数与Cognito用户池之间的访问权限。确保将Cognito用户池作为Lambda函数的触发器。

4. 配置API Gateway与Lambda集成：在API Gateway中，将Lambda函数集成到API中的相应资源上。确保启用身份验证，并选择Cognito用户池作为身份提供者。

5. 配置API Gateway方法授权：在API Gateway中，为每个资源和方法配置相应的授权。这将确保只有经过身份验证的用户才能访问API中的资源。

以下是一个使用AWS CLI创建自定义角色的示例：

1. 创建IAM策略文件（例如policy.json），定义Lambda函数的访问权限：

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowInvokeLambda",
      "Effect": "Allow",
      "Action": "lambda:InvokeFunction",
      "Resource": "arn:aws:lambda:::function:"
    }
  ]
}

2. 创建IAM角色：

aws iam create-role --role-name CustomLambdaRole --assume-role-policy-document file://trust-policy.json

3. 附加策略到IAM角色：

aws iam put-role-policy --role-name CustomLambdaRole --policy-name CustomLambdaPolicy --policy-document file://policy.json

4. 更新Lambda函数的角色：

aws lambda update-function-configuration --function-name  --role 

确保将替换为Lambda函数的名称，替换为创建的IAM角色的ARN。

通过按照上述步骤设置Cognito、API Gateway和Lambda，你将能够实现AWS多租户与Cognito + API Gateway + Lambda自定义角色的解决方案，并使用自定义角色控制访问权限。