The SSO session associated with this profile has expired or is otherwise invalid
요약 — IAM Identity Center(AWS SSO) 접근 토큰이 만료되어 프로필이 DynamoDB 호출을 위한 자격 증명을 만들 수 없습니다. aws sso login --profile <profile>을 실행해 다시 인증하세요. 로그인 직후에도 오류가 지속되면 코드가 사용하는 것과 다른 프로필/세션에 로그인하고 있거나, ~/.aws/sso/cache 아래의 캐시된 토큰이 오래된 것입니다 — 지우고 다시 로그인하세요.
무엇을 의미하나요
UnauthorizedSSOTokenError: The SSO session associated with this profile has
expired or is otherwise invalid. To refresh this SSO session run aws sso login
with the corresponding profile.SSO 기반 프로필은 수명이 긴 키를 저장하지 않습니다. aws sso login은 접근 토큰을 로컬에 캐시하고, CLI/SDK는 필요할 때 이를 수명이 짧은 역할 자격 증명으로 교환합니다. 두 계층 모두 만료됩니다: 역할 자격 증명은 몇 분에서 몇 시간 후에, SSO 토큰은 조직에 구성된 세션 길이 후에. 토큰이 만료되면(또는 새로 고침이 실패하면) DynamoDB 읽기와 쓰기를 포함한 모든 서명된 호출이 AWS에 도달하기 전에 이 오류로 실패합니다.
왜 발생하나요
- SSO 세션이 단순히 시간 초과됨 — 세션 기간은 Identity Center 관리자가 설정합니다. 밤사이 만료가 일반적입니다.
- 다른 프로필에 로그인함 — 앱/도구가 다른 프로필을 해석하는 동안
aws sso login이 한 프로필에 대해 실행되었습니다(AWS_PROFILE불일치, 또는 다른sso_session구성을 가리키는 두 프로필). - 오래되거나 손상된 토큰 캐시 —
~/.aws/sso/cache아래의 JSON 파일이 프로필의 SSO 구성(리전/시작 URL 변경)과 더 이상 일치하지 않아, 도구가 로그인 후에도 "무효" 세션을 계속 봅니다. - 자격 증명을 스스로 해석하는 서드파티 도구 — SSO 캐시를 직접 읽는 SDK와 도구는 유효성에 대해 CLI와 의견이 다를 수 있습니다(일부는 실제 만료보다 약간 앞서 토큰을 만료된 것으로 취급).
어떻게 고치나요
올바른 프로필을 다시 인증하세요:
aws sso login --profile my-profile aws sts get-caller-identity --profile my-profile # confirm it worked코드가 같은 프로필을 사용하는지 확인하세요 — DynamoDB와 통신하는 프로세스에
AWS_PROFILE=my-profile을 설정하고,~/.aws/config에서 중복/레거시 프로필 정의를 확인하세요.로그인 후에도 여전히 "만료"인가요? 토큰 캐시를 지우고 새로 로그인하세요 —
aws sso logout이 캐시된 자격 증명을 삭제하는 문서화된 방법입니다(~/.aws/sso/cache아래에 있음):aws sso logout rm -rf ~/.aws/sso/cache # only if a stale cache file still lingers aws sso login --profile my-profile오래 실행되거나 헤드리스 워크로드의 경우 SSO 프로필을 사용하지 마세요 — 대화형 브라우저 로그인은 무인으로 새로 고칠 수 없습니다. 대신 컴퓨트에 연결된 IAM 역할(인스턴스/작업/실행 역할)이나 CI OIDC 역할을 사용하세요.
세션이 성가시게 빨리 만료되나요? 세션 기간은 Identity Center 설정입니다 — 관리자에게 연장을 요청하세요.
데스크톱 도구도 같은 해결책을 상속합니다: aws sso login이 성공하면 DynoTable 데스크톱 앱이 새로 고친 SSO 프로필을 가져와 테이블에 다시 연결합니다. 세션이 활성 상태인 동안 DynamoDB Expression Builder는 쿼리하려는 것을 올바른 요청으로 바꾸는 데 도움을 줍니다.
관련 오류
- The security token included in the request is expired — SSO 세션이 아니라 만료된 역할 자격 증명.
- The security token included in the request is invalid
- Unable to locate credentials (boto3)
References
- Configuring IAM Identity Center authentication with the AWS CLI — AWS CLI User Guide
- sso login — AWS CLI Command Reference
- Set session duration for AWS accounts — IAM Identity Center User Guide
공식 AWS 문서(위 링크)를 기준으로 2026-07-13에 마지막으로 검증되었습니다.